Вечные ценности

Права и свободы требуют нашего участия

701

Что должно делать в век цифровизации правовое демократическое государство? Как защитить конфиденциальность граждан, если они сами охотно доверяют всё больше своей личной информации различным гаджетам, девайсам, сетевым сервисам или социальным сетям? Не устарело ли само понятие частной жизни и её «прайвеси», на смену которым приходит всё большая прозрачность нашей жизни, или, точнее сказать, наша цифровая нагота? А может быть, таковы неуклонные требования прогресса и спорить с ними, пытаться остановить колесо истории — просто глупо и тщетно? В конце 2021 года Фонд Фридриха Науманна издал на русском языке книгу немецкой правозащитницы, юриста и политика Сабины Лойтхойссер-Шнарренбергер «Страх съедает свободу», посвящённую всем этим вопросам.

Лойтхойссер-Шнарренбергер — член либеральной Свободной демократической партии Германии, видный представитель её социал-либерального крыла. Дважды (в 1992-1996 и 2009-2013 годах) она занимала пост министра юстиции страны, в настоящее время избрана в Конституционный суд Баварии. Однако, будучи успешным политиком и государственным деятелем, Лойтхойссер-Шнарренбергер не раз решительно ставила свою карьеру под удар, если речь шла о принципиальных вопросах прав человека. Так, в декабре 1995 года она подала в отставку с поста министра юстиции в знак протеста против так называемой «Большой прослушки» — закона, позволявшего немецким службам безопасности контролировать тот или иной дом и записывать его телефонные звонки без непосредственного подозрения в преступлении. Уйдя из правительства, она, вместе с Герхартом Баумом и Буркхардом Хиршем, обратилась с жалобой на закон в Федеральный конституционный суд, который после длительного разбирательства постановил, что закон о «большой прослушке» подрывает человеческое достоинство и противоречит Основному закону ФРГ.

Защите прав и свобод человека, проблеме их бесконтрольного ограничения во имя безопасности, сохранению неприкосновенности частной жизни человека в условиях цифровизации посвящена и новая книга Сабины Лойтхойссер-Шнарренбергер «Страх съедает свободу», переведённая Александром Яриным. Фрагмент одной из глав книги мы — с любезного разрешения Фонда Фридриха Науманна — представляем читателям Smart Power Journal.


Какие сведения о себе я раскрываю другим? Информационное самоопределение

Самоопределение — это стержневой элемент образа человека, как его отражает Основной закон. Оно является неотъемлемой частью личных прав. Человека нельзя отдавать во власть рыночных интересов крупных корпораций, нельзя оставлять бесправным и беспомощным перед лицом государственных институтов, жаждущих собрать как можно больше сведений о его личной жизни и деятельности. Он должен сам определять характер своих связей с миром. Уже в аналоговом мире сделать это бывает непросто. С приходом цифровизации эта задача неизмеримо усложнилась. В отсутствие юридических рамок пользователю грозит — возможно, даже незаметно для него самого — участь информационного объекта. Более серьезного бедствия для информационного самоопределения трудно себе представить.

С развитием цифровой коммуникации стали появляться многочисленные веб-приложения, которые активно используются для поддержания личных и профессиональных контактов. Социальная природа человека определяется его контактами, его взаимодействием с обществом. Высказывает ли человек свое мнение, участвует в информационном обмене или выражает себя посредством текста или визуальных образов — так или иначе его личность становится зримой в социальных сетях. Посредством интернет-активности человек еще и развивает свою личность. Бесчисленные приложения, обслуживающие разные интересы, отражают частную и общественную деятельность пользователя, позволяют ему представить и осуществить себя иначе, нежели в рамках непосредственной, реальной, иначе говоря аналоговой, коммуникации. Один щелчок мыши — и любое послание без малейших усилий и затрат распространяется по необозримому полю интернет-сообщества.

Возможность самому определять, кому и какую информацию о себе я предоставляю, кому я разрешаю использовать эту информацию в оговоренных целях, — это и есть квинтэссенция права на информационное самоопределение. Федеральный Конституционный суд (ФКС) довольно рано осознал сущность цифровизации и ее значение для Основного закона. Право на информационное самоопределение (в повседневной речи — право на защиту данных) отражено в решении ФКС о переписи населения 1983 года, хотя тогда, естественно, еще нельзя было предвидеть сегодняшнего уровня развития цифровизации.

ФКС в своем решении о переписи населения 1983 года недвусмысленно указал, что право каждого самостоятельно определять, когда и в какой мере раскрывать факты личной жизни, составляет часть всеобщих личных прав. Суд усмотрел опасность, кроющуюся в развитии автоматической обработки данных, и констатировал, что каждый человек должен иметь защиту от неограниченного сбора, хранения, использования и передачи его персональных данных:

«Общественный строй и сделавший его возможным правопорядок не были бы совместимы с правом на информационное самоопределение, если бы граждане не имели возможности знать, кто, что и по какому поводу о них знает. Тот, кто не уверен в том, будет ли его отклоняющееся от нормы поведение записано в любое время и сохранено в качестве информации на длительный срок, использовано и передано, тот попытается не обращать на себя внимание подобным поведением… Это затрагивало бы не только возможности индивидуального развития отдельного человека, но и общее благо, так как самоопределение является элементарным условием функционирования свободного демократического общества, основанного на способности действия и участия своих граждан. Отсюда следует: свободное развитие личности в современных условиях обработки данных предполагает защиту каждого человека от неограниченного сбора, хранения, использования и передачи его персональных данных. Поэтому данная защита охватывается основным правом, предусмотренным частью 1 статьи 2 во взаимосвязи с частью 1 статьи 1 Основного закона».

Этими тезисами из судебного решения по поводу переписи должны руководствоваться создатели всех компьютерных приложений, все те, кто приступает к интернет-исследованиям. Эти тезисы не подвержены изменениям во времени, они всегда актуальны. Праву на информационное самоопределение по сей день придается исключительно важное значение. Оно оказало влияние на законодательство Европейского союза; основное право на защиту данных было включено в Хартию ЕС об основных правах (ст. 8), а принятый в Европе ОРЗД значительно усовершенствовал защиту в этой сфере.

В прежнем, аналоговом, мире под защитой находились папки с документами, содержащими личные данные, дневники, частные записи, истории болезни и налоговые сведения.

В цифровую эпоху защите от несанкционированного доступа подлежат не только старые документы и записи на бумаге, но и все формы сбора, простого ознакомления, хранения, использования, передачи и публикации личной или потенциально индивидуализируемой информации.

К этой категории относятся и многие веб-приложения, базирующиеся на так называемом пользовательском контенте: аккаунты в социальных сетях, персональные данные, включающие имя пользователя, электронный адрес, номер паспорта, дату рождения, фотографии, посты в социальных сетях, сведения о друзьях и родственниках, а также сознательно или неосознанно оставленные в компьютере файлы cookie, позволяющие проследить историю обращений в Интернет.

Но личными данными пользователей уже давно стремятся завладеть не только государственные институты. Куда более массовый характер приобретают случаи несанкционированного доступа частных корпораций к данным, которые пользователи оставляют в Интернете и на социальных платформах, — персональным данным, которые пользователи к тому же зачастую осознанно и добровольно раскрывают сами. Защищать граждан от них самих не является первоочередной целью основных прав. Главное их предназначение — борьба с назойливым любопытством со стороны государства.

Что касается частных корпораций, поначалу можно было подумать, что это внегосударственная сфера, свободная от государственных ограничений. Но это не так, поскольку предприниматели также обладают и пользуются основными правами. Например, правом вести предпринимательскую деятельность, владеть предприятием на праве собственности. На предпринимателей точно так же распространяется всеобщая свобода, свобода науки, печати и слова.

Не вдаваясь в теоретические детали, можно сказать, что государство принимает защитные меры в тех случаях, когда его обязывают к этому положения Основного закона. Эта необходимость заставляет, в частности, прибегнуть к средствам национального и международного регулирования, чтобы защитить право гражданина на информационное самоопределение от чрезмерного, не ограниченного ни во времени, ни в пространстве распространения его данных по всему миру. Основные права в этом случае могут играть опосредующую роль.

Защита данных как элемент самоопределения

Пользователи в Германии юридически защищены от широкомасштабного использования их персональных данных Общим регламентом ЕС о защите данных и национальными законами о защите персональных данных. Эти важные новые законы, вступившие в силу 25 мая 2018 года, улучшают положение пользователей в том, что касается обеспечения и реализации их прав на информационное самоопределение. Однако улучшение возможно лишь при условии достаточной информированности пользователей, которые не обязаны исполнять все требования компаний, предлагающих информационные услуги.

Главная роль здесь принадлежит пользователю, располагающему средствами самозащиты. Однако многие пользователи к этим средствам не прибегают. Они добровольно раскрывают существенную часть своих персональных данных, когда устанавливают приложения или используют ту или иную социальную платформу.

Пользователь, как правило, не бывает в полной мере осведомлен о масштабе доступа к его данным, их распространении в Сети и о целях их использования.

Зачастую он всем этим даже не интересуется, увлекшись достоинствами фитнес-гаджетов, дорожной информации, сервисов совместного доступа к информации, возможностью покупок и бронирования услуг, удобством общения через WhatsApp, Facebook или Twitter. Тогда как собственные персональные данные не представляются ему столь уж важными.

Многие негативно реагировали на введение новых правил защиты информации. Необходимость давать согласие на использование своих данных, испрашиваемое в порядке информационного самоопределения, воспринималась не как преимущество, а скорее как бюрократическая препона. Тем важнее осведомлять пользователя о его праве на получение информации, существенной для него: о значимости согласия либо отказа раскрывать своии данные, о праве на уничтожение этих данных. Пользователь должен знать, в какие инстанции, компетентные в вопросах защиты данных, он может обратиться в случае возможных нарушений и на какую юридическую поддержку в суде он может рассчитывать.

Как только становится известно о неправомерном использовании личных данных корпорациями, как в прошлом это случилось в торговой сети Lidl, в корпорации Telekom, а также снова и снова происходит в Facebook и WhatsApp, интерес к защите данных резко возрастает. Но вскоре о структурном аспекте проблемы люди снова забывают. «Целые стада интернет-овец по доброй воле приносят большую часть своих персональных данных и безропотно возлагают их на жертвенный алтарь социальных сетей, оставляя при этом множество и других электронных следов своего присутствия и развития своей личности, не осознавая при этом масштаба распространения всех этих сведений» — в такой заостренной форме формулирует эту мысль эксперт. Я призываю всех пользователей проявить внимание к этому вопросу раньше, чем наступит случай злоупотребления вашими данными, и всегда соблюдать осторожность при обращении со смартфоном и подобными техническими устройствами.

Cлева направо: канцлер Германии в 1982-98 гг. Гельмут Коль, министр юстиции в 1991-92 Клаус Кинкель, Сабина Лойтхойссер-Шнарренбергер, президент Германии в 1984-94 Рихард фон Вайцзеккер и вице-канцлер, министр иностранных дел Германии в 1974-92 Ганс-Дитрих Геншер

Жизнеспособность основных прав объясняется тем, что их используют в повседневности. Беззаботность, забывчивость или просто невежество и безразличие — это не удаль, а глупость. Граждане должны использовать все имеющиеся у них возможности, если они хотят оставаться хозяевами своей личной жизни. В условиях глобализированного информационного общества с его непрозрачной, сложной технологией и доминирующими на рынке корпорациями люди зависимы от степени защиты используемой ими инфраструктуры. Хакерские атаки, кибератаки, троллинг и социальные боты могут парализовать, а то и полностью разрушить наши мобильные устройства и стационарные соединения.

Конфиденциальность и неприкосновенность информационно-технических систем

Ту же, а точнее, более приоритетную позицию относительно права на информационное самоопределение занимает право на гарантию конфиденциальности и неприкосновенность информационно-технических систем. Это так называемое основное право в сфере IT закрывает тот пробел в защите всеобщих личных прав, который не заполняется ни правом на информационное самоопределение, ни тайной телесвязи, ни защитой жилища посредством статьи 13 Основного закона. Это право дополняет пространственную конфиденциальность конфиденциальностью цифровой.

Сложные информационно-технические системы стали неотъемлемой частью повседневной жизни многих граждан. Этим отвлеченным техническим термином обозначаются вполне конкретные приложения. Как часто мы протягиваем руку за флеш-накопителем или загружаем наши данные в облако? Мы используем любую IT- инфраструктуру, самое разнообразное программное обеспечение и все виды накопителей памяти на одном или нескольких компьютерах, предоставляющих услугу хранения информации онлайн. Мы потребляем столько услуг, сколько нам требуется. Сам факт, что все это функционирует, для нас, пользователей, важнее всего. IT-инфраструктура, предоставляющая себя пользователю посредством компьютерной сети, не устанавливается на его локальном компьютере. Пользователь не в состоянии обеспечивать надежность этой технической системы — в этом он зависит от провайдера, с которым, вообще говоря, лично не знаком. Для отдельного человека это практически означает невозможность контролировать техническую структуру. Он не может, прибегнув к самостоятельному шифрованию или другим техническим средствам защиты, предотвратить несанкционированный доступ к облачным данным и несанкционированное использование этих данных. Тем самым он попадает в зависимость от провайдера, от оператора сети и от создателя программных устройств.

Сказанное, конечно, не причина оставлять пользователя без всякой поддержки и защиты. И тут на помощь приходит так называемое основное право в сфере IT. Оно защищает не отдельные данные или содержание сообщений, но инфраструктуру как таковую и, таким образом, в правовой иерархии стоит выше защиты контента. Итак, основное право в сфере IT означает защиту системы в целом. ФКС очерчивает эту сферу защиты следующим образом:

«Основное право на гарантию конфиденциальности и неприкосновенность технических информационных систем вступает в силу, если возможное вмешательство затрагивает систему, изолированную или распределенную в интернет-сети, которая может содержать личные данные человека в таком объеме и в таком многообразии, что доступ к этой системе позволяет составить представление о существенных частях образа жизни этого человека и, более того, получить связную картину его личности. Такая возможность возникает, например, при доступе к персональным компьютерам… мобильным телефонам и электронным записным книжкам, имеющим широкий спектр функций и могущим фиксировать и хранить персональные данные различного рода».

Иными словами, основное право в сфере IT реализуется при наличии трех условий. Речь идет, во-первых, о сложных системах: умные дома, вероятно снабженные интеллектуальной системой управления, сетевые системы автовождения, в будущем, возможно, полностью автономного. Необходимая для этого техническая инфраструктура должна функционировать абсолютно надежно. Участие гражданина в этой системе сведено к нулю.

Во-вторых, мы говорим о защите персональных данных в процессе использования этой системы. Характер вождения автомобиля, расход электричества, передаваемая информация — все это дает представление об образе действий и личности пользователя, который поэтому должен иметь право на защиту от неправомерного использования и обработки этой информации.

И наконец, третьим пунктом следует приоритет защиты данных каждого отдельного человека, что в этом случае эквивалентно оправданному ожиданию конфиденциальности. Это означает, что пользователь либо использует собственную систему, либо подключается к сложной системе, относительно которой может рассчитывать, что он один имеет право доступа к своим данным, а несанкционированные третьи лица надежно исключены из этого процесса. Он вправе полагаться на то, что его личные права не будут нарушены.

В этой связи важную роль играют общие условия заключения сделки. Если ими предусмотрено, что вы даете согласие на использование ваших данных третьими лицами для предусмотренных целей, значит полагаться на конфиденциальность своих данных вы уже не можете. Соответствующее ожидание больше не может быть оправданно. Поэтому очень важно, чтобы общие условия заключения сделки и информация о защите данных были сформулированы понятным образом и внимательно прочитаны пользователем перед использованием систем. Но даже если пользователь, будучи исчерпывающе информирован, дал свое согласие на сделку, он и после этого имеет право свое согласие отозвать. В этом случае его данные уже не подлежат обработке.

Это касается всех нас

Основной закон не содержит в себе статьи, которая бы напрямую закрепляла основное право в сфере IT. Это право получило свое развитие в решении ФКС как вытекающее из всеобщих личных прав. Поводом для принятия этого решения послужил проведенный Федеральной службой защиты Конституции онлайн-обыск, решение о котором было принято Законодательным собранием земли Северный Рейн — Вестфалия. С помощью онлайн-обыска можно скачать и просмотреть все данные электронной почты и приложений, поисковые запросы, фотографии, аудио- и видеофайлы, хранящиеся на смартфонах, стационарных и переносных компьютерах. Это существенное вторжение в сферу личных прав! По этой причине ФКС установил строгие ограничения для этого следственного действия, не позволяющие ему превратиться в произвольный инструмент розыска. Принятый ранее закон был признан неконституционным.

Для развития информационных технологий основное право в сфере IT имеет исключительно важное значение. Достойно сожаления, что законодатель до сего дня уделял ему слишком мало внимания, а то и намеренно его игнорировал. Строго регламентированный онлайн-обыск был введен регламентом Федерального управления уголовной полиции в целях предотвращения опасности, и в 2016 году ФКС снова дал этим правилам ограничительное толкование. И наконец в 2017 году положение об онлайн-обыске, проводимом в рамках уголовного преследования, было включено в УПК Германии.

Вместо того чтобы снова и снова предпринимать негодные попытки наделить органы государственной безопасности обширными полномочиями по проведению онлайн-обысков, законодателю следовало бы более тщательно отнестись к своим обязанностям по усовершенствованию защиты цифровой инфраструктуры. Последняя все чаще подвергается хакерским атакам, причем не только со стороны частных акторов и организаций, но и со стороны органов государственной безопасности.

Теперь все знают о массированном доступе к линиям и узлам передачи данных на территории Германии, осуществленном АНБ, о чем свидетельствуют секретные документы, опубликованные в 2013 году бывшим сотрудником ЦРУ Эдвардом Сноуденом. Прослушивались мобильные телефоны, были собраны и обработаны миллионы единиц данных — все это в нарушение прав многих граждан Германии. Политика последних лет обнаружила свое бессилие.

Следует отдавать себе отчет в том, что американские и, вполне возможно, британские, российские и другие иностранные спецслужбы продолжают упомянутую практику и сегодня. В подобных случаях отдельному человеку основные права практически не помогают, так как он едва ли располагает конкретной информацией. Информация, добытая спецслужбами, даже в случае предполагаемого нарушения основных прав доступна гражданам лишь в исключительных случаях, но тогда у судов нередко бывают связаны руки. Итог малоутешительный, и останавливаться на нем нельзя.

О том, что подобная опасность не химера, раздуваемая паникерами и врагами технического прогресса, свидетельствуют многочисленные хакерские атаки последних лет. 12 мая 2017 года началась масштабная кибератака вредоносной программы WannaCry, требовавшей денежного выкупа и заразившей более 230 тысяч компьютеров в 150 странах мира. Это нападение было охарактеризовано Европолом как беспрецедентное по своему масштабу. WannaCry использовала для проникновения в компьютеры уязвимость в среде Microsoft. Осуществляющее функции иностранной разведки АНБ использовало этот пробел на протяжении более пяти лет, не информируя об этом компанию Microsoft.

«Продолжающиеся цифровые атаки показывают, насколько уязвимым является цифровое сообщество в наши дни. Это тревожный звонок для компаний, побуждающий их наконец серьезно отнестись к IT-безопасности и принять надежные меры защиты. Уязвимость обнаружена несколько месяцев назад, обновления систем безопасности доступны, мы настоятельно рекомендуем их установить» — это предупреждение государственного эксперта по IT-безопасности Арне Шёнбома, президента ФАИБ, не только указывает на основные пробелы в IT-безопасности, но и подчеркивает угрозы, которые они могут представлять для экономики в целом и для пользователей.

В своем отчете о положении дел за 2018 год это ведомство предупредило о более чем 800 миллионах существующих вредоносных программ. Это на 200 миллионов больше, чем годом ранее. И ежедневно добавляется 390 тысяч новых версий вредоносных программ. Опасность вирусных заражений в Германии высока даже с учетом того, что использование программ-вымогателей сокращается. Это делает тем более безответственным использование секретными службами брешей для внедрения шпионских программ, так называемых государственных троянов, предназначенных для онлайн-мониторинга.

Президент и главный юрист корпорации Microsoft Брэд Смит упрекает «мировые правительства» в том, что они уделяют недостаточно внимания уязвимостям программного обеспечения, обнаруженным их же спецслужбами. При таком положении дел государство разделяет ответственность за возможный ущерб от кибератак. Одна из множества загадок засекреченного мира АНБ — это технология, которая негласно создает доступ к иностранным компьютерам, маршрутизаторам и данным и осуществляет компьютерные атаки в значительной степени автоматически. Не вызывает сомнения, что это подрывает доверие к действиям правительства.

По мере развития автоматизированного вождения — от многочисленных служб помощи на дороге до пилотируемого вождения — повышаются требования к безопасности цифровой инфраструктуры, так как все участники дорожного движения с самоуправляемыми автомобилями окажутся вынуждены полагаться на нее. Не будет преувеличением сказать, что это вопрос жизни и смерти. Если «водитель» перестанет непосредственно управлять своим автомобилем, он должен будет абсолютно полагаться на безотказность техники.

За внедрение и утверждение автоматизированных и сетевых систем в общественном транспорте отвечает государственный сектор. Системы вождения должны быть официально утверждены и оставаться под контролем. При этом наличие технически неустранимых остаточных рисков на фоне в принципе положительного рискового баланса не должно препятствовать внедрению автоматического вождения. Так сказано в руководящих принципах Комитета по этике. Но как придать этому конкретный смысл и какой остаточный риск можно считать допустимым — это пока неясно.

Эйфорические ожидания того, что в ближайшем будущем автоматизированное вождение станет доступно всем, можно охладить тем доводом, что остаточные риски в дорожном движении с ежедневным участием миллионов водителей для Германии неприемлемы. В случае сомнений выбор должен быть сделан в пользу безопасности и исключения угрозы для участников дорожного движения. Абсолютно безопасная информационная инфраструктура является непременным условием приемлемости автоматизированного вождения, основанного на показаниях датчиков, и государство должно это гарантировать.

Основное право в сфере IT обеспечивает максимально полную защиту пользователя от вмешательств со стороны государства в его личный компьютер, мобильные устройства и цифровые инфраструктуры.

Речь идет о вмешательстве глубинного характера, позволяющем составить представление о действиях, мыслях и убеждениях пользователя. Поэтому противодействие этому вмешательству должно иметь весьма масштабный характер. Сокровенная сфера частной жизни должна быть защищена от посторонних взглядов.

Противозаконные нарушения этого основного права можно обжаловать в судебном порядке, но это не ликвидирует уже нанесенного ущерба.

Намного более эффективны и своевременны были бы действия самого пользователя по защите от хакерских атак, в том числе и со стороны государства. Так, он может использовать ту или иную методику шифрования. Однако персональные файрволы едва ли способны обеспечить защиту от профессиональных шпионских программ, разработанных в лабораториях спецслужб. Поэтому в число задач Федерального агентства по информационной безопасности входит консультирование граждан и обеспечение их оптимальной защитой от государственного вмешательства и несанкционированных хакерских атак. О том, что в этой области предстоит совершенствовать еще многое, свидетельствуют результаты хакерской атаки на личные аккаунты около тысячи немецких политиков и других известных лиц в начале 2019 года.

Но и сам гражданин должен принимать все доступные меры предосторожности и постоянно быть в курсе последних достижений в этой области, в частности обновлять программное обеспечение, закрывающее новые пробелы в системе безопасности. Разумеется, следует оперативно создавать резервные копии своих данных и хранить пароли, ПИН-коды, номера банковских транзакций только в закодированном виде либо вовсе не хранить их в электронной памяти. На многих компьютерах, подключенных к Интернету, нет необходимости запускать серверные программы. Серверные службы загружаются многими операционными системами в стандартном пакете; их деактивация исключает ряд пунктов, уязвимых для атаки. Многие пользователи пренебрегают такими способами защиты, как ограничение доступа к личным данным. Существует стандарт личной безопасности, который включает множество аспектов. Должна признаться, что сама я не в состоянии обеспечить для себя этот стандартный уровень защиты, поэтому мне приходится снова и снова обращаться за профессиональной помощью.


Предисловие: Александр Гнездилов
Скачать книгу целиком можно на сайте Фонда Фридриха Науманна